JAVA序列化和反序列化漏洞详解(小白必看)

最新推荐文章于 2024-08-04 11:07:52 发布
最新推荐文章于 2024-08-04 11:07:52 发布
阅读量702 收藏 3
点赞数 3
文章标签: java 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61638307/article/details/129466893
版权

一.什么是Java序列化和反序列化?

 Java序列化:将Java对象通过writeObject()方法转换为字节流并写入磁盘中。

Java反序列化:将字节流通过readObject()方法读取出来并转换为对象。

二.为什么会产生反序列化漏洞?

举个例子:客户端和服务端通信的时候,客户端将序列化之后的数据传输给服务器,只要服务端反序列化数据,客户端传递类的readobject中代码会自动执行,给与攻击者在服务器上运行代码的能力。那么将会产生反序列化漏洞。

三:漏洞可能利用的形式

1.入口类中的readObject()直接调用危险函数。(但是,这种个人觉得基本不大可能 )

2.入口类中包含可控类,这个可控类如果调用其他的类中包含危险函数的话也有可能,简单来说就是套娃。

3.入口类中包含可控类,这个类包含危险方法,如果定义的时候转变数据类型为Object,那么也可能产生漏洞。

四:免责声明

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。其中知识点参考了billbill中白日梦组长。

安全路上的小白1
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
java反序列化漏洞分析
weixin_47623655的博客
03-30 2363
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
java序列化反序列化,面试必备
12-21
Java序列化反序列化Java开发中常见且重要的概念,尤其在面试中常常被问及。序列化是指将一个Java对象转化为字节序列的过程,这样可以将对象的状态持久化到磁盘上或者在网络中进行传输。反序列化则是相反的过程,...
java基础--反序列化漏洞原理
zyer
05-04 4492
原理 根据上篇文章可以了解到,一个类想要实现序列化反序列化,必须要实现 java.io.Serializable 或 java.io.Externalizable 接口。 Serializable 接口是一个标记接口,标记了这个类可以被序列化反序列化,而 Externalizable 接口在 Serializable 接口基础上,又提供了 writeExternal 和 readExternal 方法,用来序列化反序列化一些外部元素。 其中,如果被序列化的类重写了 writeObject 和 r
Java 中的序列化安全漏洞梳理(二)
weixin_49376454的博客
06-27 927
Java 中的序列化安全漏洞梳理(二)
1、序列化Java序列化工具详解
Java__EE小白成长之路
07-22 1342
为认证授权服务做准备工作,先来一篇Java序列化相关文章开始,最后是Spring Security,敬请期待。
Java反序列化漏洞详解(易懂)
weixin_63350467的博客
07-15 1000
这篇文章主要还是让大家简单理解为啥会出现这个漏洞,以及查找漏洞的流程。对于java序列化,反射,类加载等知识点的详细内容,大家可以自己感兴趣找找。这里主要还是让和我一样的小白简单理解一下这个漏洞的原理。
Shiro反序列化漏洞原理详解及复现,2024年最新0基础Golang开发
2401_84254196的博客
04-18 624
不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!生成CC链,再次按照上述方式发送,执行命令为反弹shell(CC6可打通),注意vulhub靶机本身没有nc,如果使用nc需要先上传。删除JSESSIONID(当该字段存在时,不检测rememberMe),修改rememberMe为加密后的值发送。AES解密,shiro默认加密方式,存在padding oracle攻击及密钥泄露,是可以利用的核心。
Java~序列化反序列化为什么要实现Serializable接口
2301_82242130的博客
04-18 265
谈到面试,其实说白了就是刷题刷题刷题,天天作死的刷。。。。。为了准备这个“金三银四”的春招,狂刷一个月的题,狂补超多的漏洞知识,像这次美团面试问的算法、数据库、Redis、设计模式等这些题目都是我刷到过的并且我也将自己刷的题全部整理成了PDF或者Word文档(含详细答案解析)66个Java面试知识点架构专题(MySQL,Java,Redis,线程,并发,设计模式,Nginx,Linux,框架,微服务等)+大厂面试题详解(百度,阿里,腾讯,华为,迅雷,网易,中兴,北京中软等)算法刷题(PDF)
一文带你搞懂CC1链(小白入门必看文章)
maple_leaf
12-03 2268
CC链是利用Java反序列化漏洞进行攻击的一种方式。CC链利用Apache Commons Collections库中的Transformer接口的实现类,通过巧妙的设计,将恶意代码序列化为一个对象,然后将该对象传递给一个反序列化函数,从而触发恶意代码的执行。
OWASP top 10漏洞详解
mw_myever的博客
10-11 1万+
一、漏洞介绍  Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 二、漏洞详情 Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。 使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限。 攻击者可利用该漏洞
10万字208道Java经典面试题总结(附答案)
热门推荐
学Java,找哪吒
08-02 99万+
1、JDK 和 JRE 有什么区别? JDK(Java Development Kit),Java开发工具包 JRE(Java Runtime Environment),Java运行环境 JDK中包含JRE,JDK中有一个名为jre的目录,里面包含两个文件夹bin和lib,bin就是JVM,lib就是JVM工作所需要的类库。 2、== 和 equals 的区别是什么? 对于基本类型,==比较的是值; 对于引用类型,==比较的是地址; equals不能用于基本类型的比较; 如果没有重写equa
java 序列化反序列化的实例详解
08-29
java 序列化反序列化的实例详解 Java 序列化反序列化Java 编程语言中的一种机制,允许将 Java 对象转换为字节序列,并将其反序列化Java 对象。序列化是指将 Java 对象转换为字节序列的过程,而反序列化是...
Java序列化反序列化原理及漏洞解决方案
08-18
Java序列化反序列化原理及漏洞解决方案 Java序列化反序列化原理及...Java序列化反序列化原理及漏洞解决方案是Java编程语言中的一项重要机制,但同时也存在一些安全漏洞,需要开发者在使用时进行严格的安全检查和防范。
JAVA序列化反序列化的底层实现原理解析
08-25
JAVA序列化反序列化的底层实现原理解析 一、基本概念 JAVA序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程。序列化是把对象转换成有序字节流,以便在网络上传输...
Java 序列化反序列化实例详解
08-31
Java 序列化反序列化实例详解 Java 序列化反序列化Java 语言中两个重要的概念,它们在分布式应用中扮演着至关重要的角色。序列化是指将对象转换为字节流的过程,而反序列化则是指将字节流恢复为对象的过程。...
枚举工具类
qq_43049583的博客
08-04 233
java枚举工具类
等待唤醒机制两种实现方法-阻塞队列
最新发布
泰勒今天想展开的博客
08-04 303
桌子上有面条-》吃货执行桌子上没面条-》生产者制造执行。
社区养老服务小程序的设计
Karen198的博客
07-31 629
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值